✦ segurança

Postura de Segurança

A uinspect entrega infraestrutura que carrega evidências críticas para sinistros, processos judiciais e auditorias regulatórias. Segurança não é feature, é requisito de existência do produto.

Cadeia de custódia

Cada mídia capturada pela plataforma recebe, no instante do disparo:

  • Carimbo de tempo do servidor (não confiamos no relógio do dispositivo)
  • Coordenadas GPS forçadas pela câmera nativa do app (com precisão estimada e indicação se foi forçado)
  • Hash criptográfico SHA-256 sobre o arquivo binário, registrado em log imutável
  • Identidade do autor validada por autenticação multi-fator
  • Identificador único do caso e do workspace de origem

Qualquer tentativa de alteração posterior é detectada na validação do hash. O laudo final inclui a cadeia completa, exportável como evidência defensável em contraditório.

Criptografia

  • Em trânsito: TLS 1.3 em todas as conexões cliente-servidor
  • Em repouso: criptografia AES-256 para dados persistidos em armazenamento
  • Backups: criptografados com chaves rotacionadas
  • Comunicação interna: serviços internos se autenticam mutuamente via mTLS

Controle de acesso

  • Autenticação obrigatória com senha forte e MFA disponível (TOTP, push)
  • SSO via SAML 2.0 e OIDC para clientes corporativos
  • Permissões granulares por workspace, equipe e usuário (princípio do menor privilégio)
  • Trilha de auditoria de todas as ações administrativas (criação, exclusão, alteração de permissões)
  • Sessões com expiração automática e revogação centralizada

Infraestrutura

  • Hospedagem em provedor cloud com certificações ISO 27001, SOC 2 Type II e PCI DSS
  • Segregação de ambientes (produção, homologação, desenvolvimento)
  • Hardening de servidores: atualizações automáticas de segurança, firewalls de aplicação, proteção DDoS
  • Backups diários com retenção configurável por workspace
  • Disaster recovery com RPO e RTO documentados em contrato corporativo

Disponibilidade

Clientes corporativos têm SLA contratual de disponibilidade. O status operacional pode ser acompanhado em status.uinspect.com.br (em construção).

Antifraude

  • Detecção de tentativas de tampering em metadados (foto editada, GPS alterado, hora forjada)
  • Análise comportamental para anomalias em padrões de captura (volume, horários, localização)
  • Bloqueio automático de uploads que falham na validação de cadeia de custódia
  • Alertas para operadores em casos suspeitos, antes do fechamento do laudo

Privacidade por desenho

Decisões de produto consideram privacidade como requisito desde o desenho:

  • Coleta mínima de dados pessoais
  • Segregação total entre workspaces (cliente A não vê dados do cliente B)
  • Anonimização sempre que possível em estatísticas internas
  • Retenção limitada ao período necessário para a finalidade
  • Capacidade de exportar e excluir dados sob solicitação do titular

Resposta a incidentes

Mantemos processo formal de resposta a incidentes com:

  • Equipe de plantão para incidentes críticos
  • Comunicação aos clientes afetados em até 24 horas
  • Notificação à ANPD nos casos previstos pela LGPD
  • Post-mortem público para incidentes relevantes (sem dados sensíveis)

Programa de divulgação responsável

Pesquisadores de segurança são bem-vindos. Para reportar vulnerabilidades de forma responsável, escreva para security@uinspect.com.br com:

  • Descrição da vulnerabilidade
  • Passos para reproduzir
  • Impacto estimado
  • Sugestão de mitigação, se houver

Comprometemo-nos a acusar recebimento em 48 horas e a dar retorno sobre o triage em até 5 dias úteis.

Certificações

Estamos em processo de certificação ISO 27001 e SOC 2 Type II. Estimativa de conclusão informada sob demanda comercial.

Política em evolução. Algumas certificações e ferramentas listadas estão em implementação. Para o status atual e detalhamento técnico, consulte sua equipe comercial.